Security-Boundaries in Windows

Abgegrenzt

Windows bietet verschiedene Schutzmechanismen gegen entfernte und lokale Angreifer. Dabei unterscheidet Microsoft zunächst unterschiedliche Grenzbereiche, sogenannte Security-Boundaries, und definiert für jeden dieser Bereiche eigene Schutzziele. Diese Schutzziele bestimmen dabei nicht nur die Sicherheit der ausgerollten Windows-Instanzen, sondern auch die Einschätzung der Kritikalität von Sicherheitslücken.
Daten sind das Lebenselixier von Unternehmen. Umso wichtiger ist deren ständige Verfügbarkeit, auch wenn es in der IT einmal Probleme gibt. Im April ... (mehr)

Sicherheitsarchitekten kennen die Einteilung der Infrastruktur in unterschiedlich abgestufte Bereiche. Dabei gilt der unautorisierte Übergang eines Benutzers von einem in den anderen Bereich als Sicherheitsvorfall. Als Beispiel aus der realen Welt kann etwa ein einfaches Rechenzentrum dienen. Hier gibt es einen Bereich außerhalb des Rechenzentrums, einen Bereich für Besucher, einen für Kunden und zwei unterschiedliche Bereiche für Mitarbeiter – je nachdem, welche Aufgaben diese haben.

Betritt nun eine Person beispielsweise den Besucherbereich, findet ein Übergang in die erste Sicherheitszone statt. Solange dieser Zugang zu den üblichen Besuchszeiten stattfindet, ist dies unproblematisch. Außerhalb der Besuchszeiten, also bei verschlossenen Türen, handelt es sich offensichtlich um einen Sicherheitsvorfall.

Ist die Person ein Kunde oder Mitarbeiter, kann dieser nach erfolgreicher Authentifikation etwa durch den Pförtner, in den Kundenbereich übertreten. Einmal im Kundenbereich, findet der Zutritt zu anderen Bereichen meist über technische Sicherungssysteme statt.

Kunden und Mitarbeiter verwenden eine Chipkarte mit PIN zur Authentifikation, mit der sie in einzelne Räume eintreten können. Support-Mitarbeiter können zusätzlich zu den Kundenbereichen auch in den allgemeinen Mitarbeiterbereich eintreten. Netzwerkadministratoren dürfen darüber hinaus noch die Räume mit den Switches und Routern des Rechenzentrums betreten.

Was in der "realen Welt" funktioniert, lässt sich auch auf die Absicherung von Betriebssystemen übertragen. Microsoft definiert für die eigenen Betriebssysteme, laufenden Dienste und verwendeten Geräte neun unterschiedliche Security-Boundaries, die allerdings nicht durchgängig so hierarchisch aufgebaut sind, wie die Sicherheitsbereiche aus dem genannten Beispiel. Das zugehörige Dokument im Microsoft Security Response Center (MSRC) [1] wird dabei fortlaufend aktualisiert.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021